IPv6 mit Tücken

Feb28
2011 Written by lordlamer

Das Problem zu finden war nicht ganz so einfach. Das hat gestern echt Zeit gekostet.

Ihr seht ja rechts die Twitterbox. Diese ging seit der Umstellung auf IPv6 nicht mehr. Genauso funktionierte die Plugin-Verwaltung im WordPress-Backend nicht. Die Frage war nur noch “Wieso?”.

Da habe ich gestern die PHP Einstellungen durchgewühlt und Testscripte geschrieben mit fsockopen. Aber alles half nichts. Dann probierte ich über die Shell ein

w3m http://wordpress.org

Aber da bekam ich nur ein 404 Fehler. Von mir zu Hause funktionierte alles sauber. Dann mal fix mit dig die DNS Einträge von wordpress.org geprüft. Resultat: Auch alles richtig. Das war der Zeitpunkt zu Kapitulieren?!

Ich habe danach mit telnet weiter getestet und siehe da:

telnet wordpress.org
Trying 2a01:xyz:100:5442::q...
Trying 72.233.56.138...
Trying 72.233.56.139...

Wieso löst telnet wordpress.org mit einer IPv6-Adresse auf? Gleich mal ein strace drauf gemacht und siehe da… Er versucht wordpress.org.universe.linuxdelta.de aufzulösen und findet natürlich was weil bei mir im DNS *.universe.linuxdelta.de angelegt ist. Aber wieso versucht er wordpress.org.universe.linuxdelta.de aufzulösen? Der Fehler bzw. die Lösung liegt in /etc/resolv.conf. Hier steht die Zeile

search universe.linuxdelta.de

Das heißt nun entweder das “search” entfernen oder *.universe.linuxdelta.de aus dem DNS nehmen.

Dann klappt’s auch mit dem Nachbarn!

Posted in IPv6

Jetzt auch mit IPv6

Feb26
2011 Written by lordlamer

Die Seiten von lordlamer.de, linuxdelta.de und knowledgeroot.org sind jetzt auch über IPv6 erreichbar.

Die IPv6 Adressen habe ich schon seit einiger Zeit auf dem Server eingerichtet. Heute habe ich dann mal im DNS die AAAA Records für IPv6 hinterlegt.

Weiterhin gibt es in der rechten Spalte eine kleine Anzeige mit der IP Adresse von euch. Damit könnt ihr prüfen ob ihr per IPv4 oder IPv6 zugreift.

Bei Problemen mit dem Zugriff meldet euch einfach hier oder direkt per E-Mail.

Posted in IPv6

Alexa’s erster Ausflug auf dem Laufrad

Feb26
2011 Written by lordlamer

Wir haben das gute Wetter heute mal genutzt um mit Alexa die Gegend unsicher zu machen. Daher hier die ersten Bilder von Alexa auf ihrem neuen Laufrad…

Posted in misc

LUG Balista Hamburg e.V. beim CLT 2011

Feb21
2011 Written by lordlamer

Fast schon rein Ritual. Aber auch dieses Jahr geht es wieder zu den Chemnitzer-Linux-Tagen. Mit 2 Autos und 14 Personen geht es am Freitag den 18.03.2011 ab nach Chemnitz.

Dieses Jahr Neu: LUG Balista Hamburg e.V. hat diesmal einen eigenen Stand und stellt sich, den Software-Freedom-Day(SFD) und eigene Projekte vor.

Wer also mich oder andere Leute von LUG Balista Hamburg e.V. treffen will kann uns dort ja treffen.

Hier auch noch der Link zu unserem Stand:
http://chemnitzer.linux-tage.de/2011/live/642

Posted in LUG Balista

Kleiner Helfer: log2mail

Feb21
2011 Written by lordlamer

Heute möchte ich euch einen kleinen Helfer Vorstellen: log2mail. Dieses kleine Programm könnt ihr so Konfigurieren, dass es in Log-Dateien nach bestimmten Zeichen oder Zeichenketten sucht und euch eine E-Mail zukommen lässt.

Ein kleines Beispiel: Ihr wollt per E-Mail Bescheid bekommen wenn sich Benutzer XY am System anmeldet.

Zur Installation macht ihr unter Debian einfach folgendes:

aptitude install log2mail

Das Mail-Template bearbeitet ihr dann unter: /etc/log2mail/mail.

In der Datei /etc/log2mail/config/default habt ihr dann die Standardkonfiguration. Hier könnt ihr dann definieren wer eine E-Mail bekommen soll, welche Log-Datei kontrolliert wird und wieviel Einträge aus der Datei ihr per E-Mail bekommt.

Hier ein Beispiel dazu:

defaults
 sendtime = 20
 resendtime = 50
 maxlines = 7
 template = /etc/log2mail/mail
 fromaddr = log2mail
 sendmail = /usr/lib/sendmail -oi -t

file = /var/log/auth.log
 maxlines = 2
 pattern = "session opened for user XY"
 mailto = user@domain.tld

Bei Fragen und Anmerkungen wie immer einfach melden!

Posted in Debian, misc

Ankündigung für Backports

Feb17
2011 Written by lordlamer

Da Backports seit kurzem wieder freigegeben ist habe ich mich entschlossen einige meiner Pakete auch für Debian Backports bereit zu stellen. Dies wird vor allem das Zendframework betreffen. Wie sieht es denn mit meinen anderen Paketen aus? Was meint ihr?

Posted in Debian

Blick aus dem Büro

Feb17
2011 Written by lordlamer

Heute gibt es mal den Blick aus dem Büro in Richtung Osten. Zu sehen ist neben dem üblichen Hamburg Grau in Grau die Industrielandschaft der City-Süd.

Posted in Company, misc

Eigenes SSL Zertifikat in 3 Schritten

Feb15
2011 Written by lordlamer

Um ein selbstsigniertes SSL Zertifikat zu erzeugen einfach folgende 3 Schritte machen:

openssl req -new -newkey rsa:4096 > server.crt
openssl rsa -in privkey.pem -out server.key
openssl x509 -in server.crt -out server.cert -req -signkey server.key -days 365

Danach habt ihr ein Zertifikat mit einer Stärke von 4096Bit und einer Laufzeit von 365 Tagen.

Das Zertifikat befindet sich dann in der Datei server.cert. Der Request dazu ist in der server.crt enthalten. Falls ihr also das Zertifikat von einer CA signieren lassen wollt müsst ihr der CA den Request zukommen lassen.

Posted in misc

Firewallregeln mit Ferm

Feb14
2011 Written by lordlamer

Wer wie ich nicht gerne direkt iptables Regeln selber schreiben möchte sollte sich mal ferm angucken. Unter Debian lässt sich das Paket ganz einfach installieren mit:

aptitude install ferm

Und schon ist ferm installiert. Um ferm global zu aktivieren oder zu deaktivieren kann man den Schalter ENABLED in der Datei /etc/default/ferm auf YES oder NO setzen.

In meiner folgenden Konfiguration habe ich sowohl Regeln für IPv4 als auch IPv6. Eingehende Verbindungen über IPv4 oder IPv6 werden eingeschränkt. Bei den IPv4 Verbindungen habe ich auch ein Source- und Destination-Limit eingebaut.

Die Konfiguration befindet sich selber in der Datei /etc/ferm/ferm.conf. Und hier endlich eine Beispielkonfiguration:

table filter {
 chain INPUT {
 policy DROP;

 # connection tracking
 mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;

 # allow local packages
 interface lo ACCEPT;

 # respond to ping
 proto icmp icmp-type echo-request ACCEPT;

 # allow IPsec
 #proto udp dport 500 ACCEPT;
 #proto (esp ah) ACCEPT;

 # allow SSH connections on port 63333
 proto tcp dport 63333 {
 # source limit
 mod connlimit connlimit-above 10 REJECT;
 # destination limit
 mod connlimit connlimit-above 20 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # http
 proto tcp dport (80 443) {
 # source limit
 mod connlimit connlimit-above 50 REJECT;
 # destination limit
 mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # ftp
 proto tcp dport ftp {
 # source limit
 mod connlimit connlimit-above 5 REJECT;
 # destination limit
 mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # smtp
 proto tcp dport (25 465) {
 # source limit
 mod connlimit connlimit-above 20 REJECT;
 # destination limit
 mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # pop3
 proto tcp dport (110 995) {
 # source limit
 mod connlimit connlimit-above 20 REJECT;
 # destination limit
 mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # imap
 proto tcp dport (143 993) {
 # source limit
 mod connlimit connlimit-above 20 REJECT;
 # destination limit
 mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;

 ACCEPT;
 }

 # sieve
 proto tcp dport 2000 {
 # source limit
 mod connlimit connlimit-above 5 REJECT;
 # destination limit
 mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;

 ACCEPT;
 }
 }
 chain OUTPUT {
 policy ACCEPT;

 # connection tracking
 #mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;
 }
 chain FORWARD {
 policy DROP;

 # connection tracking
 mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;
 }
}

# IPv6:
domain ip6 table filter {
 chain INPUT {
 policy DROP;

 # connection tracking
 #mod state state INVALID DROP;
 mod state state (ESTABLISHED RELATED) ACCEPT;

 # allow local connections
 interface lo ACCEPT;

 # allow ICMP (for neighbor solicitation, like ARP for IPv4)
 proto ipv6-icmp ACCEPT;

 # allow SSH connections on port 63333
 proto tcp dport 63333 ACCEPT;

 # http
 proto tcp dport (80 443) ACCEPT;

 # ftp
 proto tcp dport ftp ACCEPT;

 # smtp
 proto tcp dport (25 465) ACCEPT;

 # pop3
 proto tcp dport (110 995) ACCEPT;

 # imap
 proto tcp dport (143 993) ACCEPT;

 # sieve
 proto tcp dport 2000 ACCEPT;
 }

 # outgoing connections are not limited
 chain OUTPUT policy ACCEPT;

 # this is not a router
 chain FORWARD policy DROP;
}

Bei Fragen oder Anmerkungen meldet euch doch einfach.

Posted in Debian, IPv6 - Tagged , ,

Voll Durchstarten mit IPv6 in 2011

Feb14
2011 Written by lordlamer

Nachdem wir jetzt schon eine ganze Weile mit unserem internen Netzwerk IPv6 fahren soll es jetzt auch den Servern im Rechenzentrum an den Kragen gehen. Demnächst soll die Zuschaltung der IPv6 Adressen erfolgen. Danach kann ich dann anfangen die IPv6 Adressen an die Server zu verteilen und die AAAA-Records im DNS anzulegen.

Intern laufen wir über den Tunnelbroker Sixxs. Dies wird sich wohl auch kurzfristig leider nicht ändern. Eigentlich schade. Liebe Provider, viele Leute warten darauf!

Ich halte euch über aktuelle Entwicklungen auf dem laufenden!

Posted in Company, IPv6
« Older Entries Newer Entries »

Categories